华为IPSEC 由浅入深
本章只介绍手动协商+隧道
配置案例,兰州分布和上海分布之间建立ipsec vpn 实现内网通信(北京总部可以看作是运营商)
兰州出口路由器配置
sys
sys LZ
acl 3000
rule deny ip destination 20.0.0.1 0.0.0.255
rule permit ip destination any
dhcp enable
ip route-s 0.0.0.0 0 13.0.0.3
vlan 10
int vlan 10
ip add 10.0.0.1 24
dhcp se inter
int g0/0/0
ip add 13.0.0.1/24
nat outbound 3000
int e0/0/0
p l a
p d vlan 10
创建感兴趣流
acl number 3999
rule 5 permit ip destination 20.0.0.1 0.0.0.255
创建安全提议
ipsec proposal LZ2SH
encapsulation-mode tunnel
transform ah
ah authentication-algorithm sha2-256
创建安全策略
ipsec policy LZ2SH 5 manual
security acl 3999
proposal LZ2SH
tunnel local 13.0.0.1
tunnel remote 23.0.0.2
sa spi inbound ah 12345
sa spi outbound ah 54321
sa string-key inbound ah cipher haha
sa string-key outbound ah cipher haha
接口调用
int g0/0/0
ipsec policy LZ2SH
北京模拟运营商配置
sys
sys BJ
int g0/0/0
ip add 13.0.0.3 24
int g0/0/1
ip add 23.0.0.3 24
int lo0
ip add 2.2.2.2 24
上海分布出口路由器配置
sys
sys SH
acl 3000
rule permit ip destination any
dhcp enable
ip route-s 0.0.0.0 0 23.0.0.3
vlan 20
int vlan 20
ip add 20.0.0.1 24
dhcp se inter
int g0/0/0
ip add 23.0.0.2 24
nat outbound 2000
int e0/0/0
p l a
p d vlan 20
创建感兴趣流
acl number 3999
rule 5 permit ip destination 10.0.0.1 0.0.0.255
创建安全提议
ipsec proposal SH2LZ
encapsulation-mode tunnel
transform ah
ah authentication-algorithm sha2-256
创建安全策略
ipsec policy SH2LZ 5 manual
security acl 3999
proposal SH2LZ
tunnel local 23.0.0.2
tunnel remote 13.0.0.1
sa spi inbound ah 54321
sa spi outbound ah 12345
sa string-key inbound ah cipher haha
sa string-key outbound ah cipher haha
接口调用
int g0/0/1
ipsec policy SH2LZ
兰州分部ping上海分部
抓包
简单说一下ah和esp的区别:
(1)AH为IP数据包提供3种服务(统称验证):数据完整性验证,通过使用Hash函数(如MD5)产生的验证码来实现;数据完整性时加入一个共享的会话密钥来实现;防重放攻击,在AH报头中加入序列号可以防止重放攻击。
(2)ESP除了为IP数据包提供AH上述的3种服务外,还能够提供数据加密
大致的配置思路:
现在主流还是推荐配置IKE协商,ipsec的宗旨是保证数据安全,当然IKE更安全
声明:本文仅提供志同道合的朋友一起学习,记录学习过程,大佬可以提供建议。
华为IPSEC 由浅入深相关推荐
- 华为IPsec IKE自动协商配置
华为IPsec IKE自动协商配置 要点 1.大家使用ENSP模拟器AR2220进行操作: 2.配置的时候梳理好逻辑,有自己一套逻辑最好,我比较习惯先让设备能通讯,然后在配置协议: 3.验证的时候最好 ...
- 华为×××+IPSEC实现安全连接
前言: IPSec(InternetProtocolSecurity)是一种开放标准的框架结构,是安全联网的长期方向.它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***. ...
- 华为IPsec实现支部与支部间借助总部进行隧道中转
如图所示,左边的防火墙是总部,中间的防火墙是支部1,右边的防火墙是支部2,三台防火墙我用cloud进行web界面管理. 如果要实现支部1借助总部和支部2之间的隧道进行加密通信,那么该如何实现? 1.保 ...
- 成功配置华为IPSec
第一步:配置设备名称.接口IP和静态路由 <Huawei>sys [Huawei]sysn R1 [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]ip ad ...
- 华为IPSec *** 配置
实验 思路与配置 1.配置AR1 0端口ip:172.16.10.254 255.255.255.0 1端口ip:100.0.0.1 255.255.255.252 配置默认路由: ip route- ...
- 华为IPSec高可靠性
DPD(对等体失效检测):通过使用IPSec流量来最小化对等体状态检测所需发送消息报文的数量,若本端可以收到对端发来的IPSec流量,则认为对端处于活动状态,只有一段时间内没有收到IPSec流量,才会 ...
- 华为IPsec预共享密钥配置命令汇总
IKE协商对象创建 ike proposal xx //创建ike协商 authentication-method xx //设置认证方式 authentication-algorithm x ...
- ensp的ipsec实验(ike自动协商)
1.实验拓扑如图 2.需求 总部和分部通过IPSec VPN连接 总部和分部都能访问外网 3.需求分析 这个实验既要实现vpn连接,也要实现外网的连接,则需要写两条acl,分别作为ipsec的感兴趣流 ...
- 研报精选230306
目录 [行业230306东亚前海证券]食品饮料行业2023年年度投资策略:复苏在途,蓄势待发 [行业230306国金证券]基础化工行业研究:MDI价格上行,新一轮国企改革在即 [行业230306中银证 ...
最新文章
- mybatis3进行模糊查询的总结
- 使用Navicat定时备份mysql数据库和创建报表并邮件自动发送
- mysql php gpl_MySQL_MySQL数据库远程访问权限如何打开(两种方法),下载GPL版本安装MySQL Community - phpStudy...
- Check failed: error == cudaSuccess (74 vs. 0) misaligned address
- 执行计划中的参数解释
- 《『若水新闻』客户端开发教程》——12.代码编写(4)
- NYOJ98 - 成绩转换
- 段描述符和段选择符解析
- WireShark抓包原理解析及抓包实战教程
- ubantu无法连接外网的解决方法
- iMazing iOS设备管理软件中文语言设置
- Python找出数组中重复数字
- 伊利诺伊大学在线计算机硕士,UIUC伊利诺伊大学厄巴纳香槟分校计算机科学硕士MSc in Computer Science...
- 为Windows Live Writer写一个简单的插件
- Android游戏添加游戏动画,Android游戏中的动画制作
- vmd安装包_浅谈VMD(变分模态分解)
- 计算机语言zuv,我们的拼语_大家的语言_新浪博客
- Arduino/stm32 智能小车设计(一)
- AppStore隐私政策网址(URL)
- 小米Android 13 应用适配指南公告